基本 DN（Base DN） 根专有名称（DN），这个名称在你对目录服务器上进行查询的时候使用。例如： o=example,c=com cn=users,dc=ad,dc=example,dc=com 针对 Microsoft Active Directory 目录服务器，指定 专有 DN 请按照下面的格式： dc=domain1,dc=local。你需要将 domain1 和 local 替换掉你自己的配置。Microsoft Server 提供了一个称为 ldp.exe 的工具，这个工具对你在 LDAP 服务器上对用户配置和查找非常有用。 用户名属性（User Name Attribute） 这个属性将会在你载入用户名的时候使用。例如： cn sAMAccountName   https://www.cwiki.us/display/CONFLUENCEWIKI/Connecting+to+an+Internal+Directory+with+LDAP+Authentication

在登录时拷贝用户（Copy User on Login） 这个选项在用户尝试登录的时候将会被触发。如果这个选择框被选择的话，当用户使用 LDAP 授权的用户名和密码登录系统的时候，用户将会在内部目录自动创建，用户的信息将会在每次用户登录的时候同步过来。如果这个选择框不选择的话，当用户没有在本地目录创建的话，用户的登录将会失败。如果你选择这个选择框，下面的一些配置将会在屏幕中出现，下面对这些配置进行一些描述： Default Group Memberships Synchronize Group Memberships User Schema Settings（在本页面的其他章节中详细描述） 在登录时更新用户特性（Update User attributes on Login） 当你的用户在系统中进行授权的话，这些用户的属性信息将会从 LDAP 服务器上自动同步到本地。当你选择这个属性的时候，你不能再应用中直接对用户进行删除。 如果你希望对用户进行修改，请在 LDAP 服务器上操作。用户的信息将会在登录成功后更新到本地。 如果你希望对用户进行删除，请在 LDAP 服务器上操作，同时也需要在本地引用中进行删除。如果你从 LDAP 服务器上进行删除的话，用户将会拒绝登录本地系统。但是不会将这个用户设置为非激活用户，这个设置将会计算你用户的许可证数量，占用你的用户许可证。你需要在登录中更新用户属性（Update User attributes on Login）中删除，然后再重新启用他们。 默认用户组成员（Default Group Memberships） 当你选择 拷贝用户登录（ Copy User on Login）选择框选择后将会出现。如果你希望用户自动被添加到用户组，请在这里选择希望添加到的用户组名称，你可以在这里选择多用户组。 希望指定一个或者多个用户组，在用户组名字之间使用英文逗号进行分割。每次用户登录系统，用户所属的用户组信息将会被检查校验，如果用户不属于这里的用户组，用户将会在每次登录后自动添加到用户组中。 如果这里的用户组值不制定的话，这个用户将会添加到使用 LDAP 授权的内部目录中。 请注意，如果你错误的输入了用户组的名字的话，用户的授权将会返回失败信息。用户将不能访问应用程序或者基于用户组的的用户组功能。示例： confluence-users bamboo-users,jira-administrators,jira-core-users 同步用户组成员（Synchronize Group Memberships） 当你选择 拷贝用户登录（ Copy User on Login）选择框选择后将会出现。如果这个对话框被选择的话，在你每次登录系统的时候，在你 LDAP 中的用户组成员将会自动同步到内部目录中。你可以你选择了下面的一些更多的配置信息，有关名字和描述如下： Group Schema Settings（在下面的章节中详细描述） Membership Schema Settings（在下面的章节中详细描述） 注意： 'Copy Users on Login' 必须被启用，如果你希望使用 change usernames 功能的话。   https://www.cwiki.us/display/CONFLUENCEWIKI/Connecting+to+an+Internal+Directory+with+LDAP+Authentication

名字（Name） 名字的描述将会帮助你在目录中识别。例如： Internal directory with LDAP Authentication Corporate LDAP for Authentication Only 目录类型（Directory Type） 选择你希望连接的 LDAP 目录类型。如果你添加一个新的 LDAP 目录连接，有关这个目录的连接参数将会根据你选择的连接类型的不同而分别显示： Microsoft Active Directory OpenDS And more 主机名（Hostname） 你目录服务器的名字。例如： ad.example.com ldap.example.com opends.example.com 端口（Port） 你希望连接的目录服务器的监听端口。例如： 389 10389 636（for example, for SSL） 使用 SSL（Use SSL） 如果你连接的目录服务器使用了 SSL（Secure Sockets Layer），请选择这个。请注意，你需要配置 SSL 证书才能让 SSL 正常连接。 用户名（Username） 连接目录服务器需要使用的登录用户名。例如： cn=administrator,cn=users,dc=ad,dc=example,dc=com cn=user,dc=domain,dc=name user@domain.name 密码（Password） 登录目录服务器使用的登录密码。   https://www.cwiki.us/display/CONFLUENCEWIKI/Connecting+to+an+Internal+Directory+with+LDAP+Authentication

希望连接一个内部目录但是使用 LDAP 检查登录授权： 在屏幕的右上角单击 控制台按钮 ，然后选择 General Configuration 链接。 单击左侧面板上面的 用户目录（User Directories）。 添加（Add ）一个目录，然后选择 内部目录使用 LDAP 授权（Internal with LDAP Authentication）。 输入上面描述的所有配置字段。 保存你的目录服务器配置。 如果你希望你的 LDAP 用户替换掉系统中已经存在的用户。移动 'Internal with LDAP Authentication' 选择到最前面的列表中。你通过在用户目录（User Directories）界面单击目录前面的上下移动按钮操作可以定义 目录选项（directory order）。这里是有关目录顺序如何影响系统的摘要信息： 当应用程序允许对 LDAP 进行信息修改的时候，用户在系统中修改的信息只会影响到第一个目录。 目录的顺序是对用户和用户组查找的时候的搜索顺序（通过在所有目录中对 Confluence 默认的用户组聚集，所以目录的顺序将不会影响成员）。 有关更多的配置信息，请参考Managing Multiple Directories 在 Confluence 中添加你的用户和用户组。请查看 Add and Invite Users 和 Managing Site-Wide Permissions and Groups 界面中的信息   https://www.cwiki.us/display/CONFLUENCEWIKI/Connecting+to+an+Internal+Directory+with+LDAP+Authentication

你可以为你的 Confluence 连接 LDAP 服务器使用使用委托认证。这个意思是 Confluence 将会设置一个内部目录，这个目录仅被用来处理 LDAP 的授权。 这个设置将会为尝试登录系统的用户在本创建一个用户名。   一个使用 LDAP 认证的内部目录，通常是一个让你能通过 LDAP 存储和检查用户密码的配置。请注意使用 LDAP 授权内部目录（internal directory with LDAP authentication）与系统的内部目录是分开存储的。在所有的 LDAP 目录上，不检查用户的登录授权。LDAP 的连接是只读的。所有使用 LDAP 授权内部目录的用户必须映射到 LDAP 目录上，否则这些用户将不能登录系统。 什么时候使用这个选项：如果你希望为你的应用程序配置用户和用户组来适应你应用程序的配置选项。这个选项将会从 LDAP 上检查用户的登录密码。这个选项将会避免从 LDAP 服务器上下载大量用户和用户组导致的性能问题。   https://www.cwiki.us/display/CONFLUENCEWIKI/Connecting+to+an+Internal+Directory+with+LDAP+Authentication

为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书，这个存储信任证书的文件称为一个 keystore。默认的 keystore 文件被称为 cacerts 同时存储在你安装的Java 的 jre\lib\security 子目录下面。 在下面的示例中，我们使用 server-certificate.crt 代表这个文件是你从目录服务器上导出的文件。如果你的导出文件的名字不同的话，你需要在下面的安装示例中替换使用不同的名字。 当证书按照下面的步骤安装完全后，你需要重新启动你的应用服务器来让你的配置生效。 Mac OS X 导航到你的 Java 安装目录下面。通常的安装路径是： cd /Library/Java/Home 运行下面的命令，server-certificate.crt 是你目录服务器上导出的文件名： sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt keytool 将会提示你输入密码。默认的密码是 changeit。 当提示 Trust this certificate? [no]: 输入 yes 来确定你的 Key 的导入： Password: Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore 如果你的 LDAP 服务器使用了 SSL 的话你可能需要修改 'URL' 选项 （例如： ldaps://<HOSTNAME>:636/）和同时使用 Secure SSL 来让你的应用服务器连接 LDAP 服务器。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书，这个存储信任证书的文件称为一个 keystore。默认的 keystore 文件被称为 cacerts 同时存储在你安装的Java 的 jre\lib\security 子目录下面。 在下面的示例中，我们使用 server-certificate.crt 代表这个文件是你从目录服务器上导出的文件。如果你的导出文件的名字不同的话，你需要在下面的安装示例中替换使用不同的名字。 当证书按照下面的步骤安装完全后，你需要重新启动你的应用服务器来让你的配置生效。 UNIX 导航到你的 Java 安装目录下面。如果你使用的是默认的 JAVA 安装的话，你可以使用下面的命令： cd $JAVA_HOME 运行下面的命令，server-certificate.crt 是你目录服务器上导出的文件名： sudo keytool -importcert -keystore ./jre/lib/security/cacerts -file server-certificate.crt keytool 将会提示你输入密码。默认的密码是 changeit。 当提示 Trust this certificate? [no]: 输入 yes 来确定你的 Key 的导入： Password: Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore 如果你的 LDAP 服务器使用了 SSL 的话你可能需要修改 'URL' 选项 （例如： ldaps://<HOSTNAME>:636/）和同时使用 Secure SSL 来让你的应用服务器连接 LDAP 服务器。

为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书，这个存储信任证书的文件称为一个 keystore。默认的 keystore 文件被称为 cacerts 同时存储在你安装的Java 的 jre\lib\security 子目录下面。 在下面的示例中，我们使用 server-certificate.crt 代表这个文件是你从目录服务器上导出的文件。如果你的导出文件的名字不同的话，你需要在下面的安装示例中替换使用不同的名字。 当证书按照下面的步骤安装完全后，你需要重新启动你的应用服务器来让你的配置生效。 Windows 导航到你的 Java 安装目录下面。Java 的安装目录可能位于类似下面的路径 C:\Program Files\Java\jdk1.5.0_12. cd /d C:\Program Files\Java\jdk1.5.0_12 运行下面的命令，server-certificate.crt 是你目录服务器上导出的文件名： keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crt keytool 将会提示你输入密码。默认的密码是 changeit。 当提示 Trust this certificate? [no]: 输入 yes 来确定你的 Key 的导入： Enter keystore password: changeit Owner: CN=ad01, C=US Issuer: CN=ad01, C=US Serial number: 15563d6677a4e9e4582d8a84be683f9 Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012 Certificate fingerprints: MD5: D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE SHA1: 73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1 Trust this certificate? [no]: yes Certificate was added to keystore 如果你的 LDAP 服务器使用了 SSL 的话你可能需要修改 'URL' 选项 （例如： ldaps://<HOSTNAME>:636/）和同时使用 Secure SSL 来让你的应用服务器连接 LDAP 服务器。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

上面的步骤说明了如何在你的 Microsoft Active Directory服务器上安装 certification authority （CA）。这一步，你需要为你的 Microsoft Active Directory 服务器的 SSL 证书添加到你运行应用程序中可以接受的证书列表上。 Active Directory 证书将会自动创建并且保存在服务器的 C 盘上面，与你 Active Directory 服务器上的目录结构对应。例如：c:\ad2008.ad01.atlassian.com_ad01.crt 你可以通过在服务器上执行下面的命令，将服务器的证书导出： certutil -ca.cert client.crt 你可能对上面的证书文件进行授权的时候出现错误。在这种情况下，Microsoft's LDAP over SSL (LDAPS) Certificate 页面可能会帮到你。请注意你需要： 选择 "No, do not export the private key" 在 Exporting the LDAPS Certificate and Importing for use with AD DS 界面的第 10 步。 选择 "DER encoded binary X.509 (.CER)" 在 Exporting the LDAPS Certificate and Importing for use with AD DS 部分的第11步，这个文件将会在下面的步骤中用到。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory

如果证书服务器已经安装了的话，跳过这一步骤，直接进入下一步。下面步骤中的屏幕截图是从 Windows 2008 服务器版上安装的截图，针对 2000 和 2003 安装过程是一样的。 作为系统管理员登录你的 Active Directory 服务器。 单击 开始（Start），指向管理员工具（Administrative Tools），然后单击 服务器管理（Server Manager）。 在规则摘要选项（Roles Summary），单击添加规则（Add Roles）。 在选择服务器角色（Select Server Roles）页面，选择活动目录证书服务（Active Directory Certificate Services）前面的选择对话框，然后单击下一步（Next）两次。 在选择角色服务（Select Role Services）页面，选择证书授权（Certification Authority）前面的选择对话框，然后单击下一步（Next）。  在指定设置类型（ Specify Setup Type）页面，单击企业（Enterprise），然后单击下一步（Next）。 在指定 CA（Specify CA Type） 类型页面，单击根 CA （Root CA），然后单击下一步（Next）。 在设置私钥（ Set Up Private Key）和为 CA 配置加密算法（Configure Cryptography for CA）页面，你可以配置可选的配置选项，包括服务器提供的加密算法，一般来说默认的配置就可以了。 在为 CA 指定通用名（ Common name for this CA）对话框中，输入 CA 的通用名，然后单击下一步（Next）。 在设定有效期（Set Validity Period）页面，你可以选择接受默认的值或者为存储证书指定其他的存储路径，证书数据库日志等，然后单击下一步（Next）。 在确定安装选项（Confirm Installation Selections）页面确定完成所有的校验信息后，单击安装（Install）。 在结果预览页面中，预览所有的安装选项，并且校验安装以及成功完成了。   https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+an+SSL+Connection+to+Active+Directory